-
Junior Member
- Вес репутации
- 57
Кейлоггер или что за адрес?
При заходе на страницу для входа в админку : ruslit.info/administrator внизу в окошке ИЕ замечаю проскакивающий линк - killer-link.ru/spl2/index.php
Сам идти туда побаиваюсь...
Подскажите, не кейлогер ли пробует отсылать пароль в онлайн режиме или что-то пострашнее? Как вычислить?
Последний раз редактировалось AndreyKa; 24.12.2008 в 13:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ссылки деактивируйте пожалуйста.
Проскакивающий линк - ссылка на pdf-сплоит.
Так что стоит проверить систему.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 57
Только что проверил с помощью avz4, вроде всё нормально, за исключением этого -
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F748F0E0), перехватчик spcw.sys
Функция NtEnumerateKey (47) перехвачена (80570D64->F74ADCA2), перехватчик spcw.sys
Функция NtEnumerateValueKey (49) перехвачена (80590677->F74AE030), перехватчик spcw.sys
Функция NtOpenKey (77) перехвачена (80568D59->F748F0C0), перехватчик spcw.sys
Функция NtQueryKey (A0) перехвачена (80570A6D->F74AE10, перехватчик spcw.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F2->F74ADF8, перехватчик spcw.sys
Функция NtSetValueKey (F7) перехвачена (80572889->F74AE19A), перехватчик spcw.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
-
это ничего не доказывает, логи по правилам нужно.
к тому же,если акробатридера на компе нет то можно спать спокойно.
-
-
Посетившие, указанный в первом сообщении сайт рисковали получить Trojan.PWS.LDPinch.1941, трояна ворующего пароли.
-
-
Junior Member
- Вес репутации
- 57
Кейлоггер или что за адрес?
AndreyKa, я извиняюсь за такое...
Логи прилагаю в теме Перехватчик spcw.sys - опасен?
-
Видимо только сайт открыли, буквально часа 4 назад - *euro.mister-bux.cn* (Осторожно!), по доктору вебу там находятся Exploit.PDF.4 Exploit.PDF.5 и может ещё что то.Чем они думают когда такое вытворяют.
http://www.virustotal.com/analisis/4...154dd0fe98c944
Добавлено через 54 минуты
спугнул, написал письмо, почти всё убрано теперь.
Последний раз редактировалось valho; 25.12.2008 в 11:01.
Причина: Добавлено
-
-
Имеется информация о том, что сайт killer-link.ru используется для атак на компьютеры пользователей. В соответствии с вашими настройками безопасности он был заблокирован.
-
-
Junior Member
- Вес репутации
- 57
Hanson, спасибо! Обнадёжили!